首先,我不是安全专家,我以前从未使用过 LXC。
我正在尝试尽可能地强化 Gentoo 强化服务器。为此,我正在考虑使用 LXC,也许与 KVM 结合使用,以尽可能隔离网络服务。
我阅读了 LXC unix 手册页,但对我来说 Linux 容器是如何设置的仍然很模糊。在互联网上查找更多信息,我只找到了有关在 Linux 容器中运行整个系统的文档,这不是我想要做的。
我想使用 LXC 的目的是在容器内仅运行一个应用程序,其中仅包含应用程序所需的严格的最小文件/资源。我不想要一个容器内运行一个完整的系统,避免甚至有busybox的。
例如,我想隔离ntpd服务,据我所知能够同步系统时钟,我不能在VM中运行它。但是我可以在 . 中运行它chroot,或者我想我可以在 Linux 容器中运行它以获得更好的隔离和安全性。
为此,我必须:
lxc-execute有什么可能吗?构建、运行和管理这样一个容器的各个步骤是什么?